Actualiser les jetons
Refresh Token grant type
Le type d'octroi Refresh Token a un objectif très spécifique : il permet à une application d'obtenir un nouveau jeton d'accès sans avoir à répéter l'interaction complète avec l'utilisateur qui a été nécessaire pour établir l'octroi initial. Cela permet à une application de conserver son accès délégué pendant une période prolongée.
Le type de subvention Refresh Token n'est pas utilisé seul. Au moins un autre type de subvention doit être disponible pour établir la subvention initiale. Lorsque le type de subvention "Refresh Token" est activé, un jeton de rafraîchissement est renvoyé à la fin du flux initial du type de subvention. Ce jeton de rafraîchissement aura une durée de vie (beaucoup) plus longue que le jeton d'accès. L'application stocke le jeton de rafraîchissement et utilise le jeton d'accès pour accéder aux services. Par la suite, généralement après l'expiration du jeton d'accès, l'application peut utiliser le type de subvention "Rafraîchir le jeton" pour recevoir un nouveau jeton d'accès (et un nouveau jeton de rafraîchissement).

Le type de subvention Refresh Token peut être utilisé pour permettre à une application d'obtenir un nouveau jeton d'accès si une session d'utilisateur dure plus longtemps que la durée de vie du jeton d'accès obtenu au début de la session. Dans ce cas, le jeton de rafraîchissement est généralement stocké dans la session de l'utilisateur.
En limitant la durée de vie du jeton d'accès, mais en autorisant le flux de jetons de rafraîchissement, un serveur d'autorisation oblige les applications à redemander régulièrement l'accès. C'est l'occasion de réévaluer les politiques d'accès. La réduction de la durée de vie du jeton d'accès peut également atténuer l'impact d'un jeton d'accès volé.

Le type de subvention Refresh Token peut également être utilisé pour permettre à une application d'obtenir de manière transparente un nouveau jeton d'accès lorsqu'elle est démarrée après une certaine période d'arrêt. Il s'agit d'un modèle courant pour les applications mobiles qui ne veulent jamais exécuter un flux complet de type OAuth grant après l'enregistrement initial.
Lors de la mise en œuvre de ce cas d'utilisation, le jeton de rafraîchissement doit être stocké dans un endroit sûr. Sur un appareil mobile, il s'agit généralement du porte-clés. Pour plus de sécurité, le jeton de rafraîchissement peut être crypté à l'aide d'une clé de l'enclave sécurisée, de sorte qu'une opération bio-métrique soit nécessaire pour y accéder.

Jon Harry, IBM Security
Updated about 2 months ago